20 M€
Amende maximale CNIL pour non-conformité
2 ans
Durée maximale de conservation des CV
1 mois
Délai de réponse aux droits des candidats
63%
% des recruteurs qui méconnaissent le RGPD
Données personnelles en recrutement : ce qui est concerné
Types de données personnelles en recrutement
| Catégorie | Exemples | Statut |
|---|---|---|
| Identité | Nom, prénom, photo | Collecte autorisée (nécessaire) |
| Contact | Email, téléphone, adresse | Collecte autorisée (nécessaire) |
| Parcours | CV, diplômes, expériences | Collecte autorisée (nécessaire) |
| Évaluations | Notes d'entretien, tests, avis | Collecte autorisée (nécessaire) |
| Rémunération | Salaire actuel, prétentions | Collecte autorisée (si pertinent) |
| Origine ethnique | Toute information d'appartenance | INTERDIT en toutes circonstances |
| Santé | Maladies, handicap, médicaments | INTERDIT (sauf aptitude médicale) |
| Religion / politique | Convictions, appartenance syndicale | INTERDIT |
Obligations légales : les 4 piliers
- 1
Base légale du traitement
Pour traiter les données de candidats, vous devez avoir une base légale. La plus courante est l'intérêt légitime (recruter est un intérêt légitime de l'entreprise). Le consentement est rarement adapté en raison du déséquilibre de pouvoir employeur/candidat.
- 2
Information des candidats
Informer les candidats est obligatoire. Le contenu minimum inclut : identité du responsable de traitement, finalités, destinataires, durée de conservation, droits du candidat et coordonnées du DPO si applicable.
- –Mention dans l'offre d'emploi
- –Lien vers la politique de confidentialité
- –Mention dans l'accusé de réception de candidature
- 3
Durée de conservation limitée
La règle générale : pas plus longtemps que nécessaire. Les données des candidats non retenus ne doivent pas être conservées indéfiniment.
- 4
Respect des droits des candidats
Tout candidat peut exercer ses droits d'accès, de rectification, d'effacement, d'opposition, de portabilité et de limitation du traitement. Délai de réponse : 1 mois maximum.
Durées de conservation recommandées
| Situation | Durée recommandée | À l'issue |
|---|---|---|
| Candidat non retenu | 2 ans maximum après dernier contact | Suppression ou anonymisation |
| Candidat retenu (embauché) | Durée du contrat + archives légales | Archivage dossier RH |
| CVthèque / vivier | 2 ans avec renouvellement du consentement | Suppression ou re-consentement |
Bonnes pratiques vs erreurs à éviter
Avantages
- Minimiser les données collectées (seulement ce qui est nécessaire)
- Sécuriser les données (accès restreint, chiffrement)
- Informer les candidats dès le dépôt de candidature
- Documenter les traitements (registre obligatoire > 250 salariés)
- Former les équipes aux règles RGPD
- Mettre en place un process de purge régulier
Inconvénients
- Collecter des données interdites (religion, santé, opinions politiques)
- Conserver les CV indéfiniment sans procédure de purge
- Partager les candidatures sans information préalable
- Prendre des décisions automatisées sans intervention humaine
- Stocker sur des outils non sécurisés (Dropbox perso, Gmail perso)
- Ignorer les demandes d'exercice de droits
Modèle de mention d'information RGPD
À inclure dans vos offres d'emploi ou formulaires de candidature :
"Les données personnelles collectées dans le cadre de ce recrutement sont traitées par [Nom entreprise] pour évaluer votre candidature. Base légale : intérêt légitime. Conservation : 2 ans maximum après le dernier contact. Vous disposez de droits d'accès, rectification, suppression et opposition. Contact : [email DPO/RH]."
Sanctions en cas de non-conformité
Niveaux de sanction CNIL
| Niveau | Sanction | Exemple |
|---|---|---|
| Mise en demeure | Obligation de mise en conformité | Absence de mention d'information |
| Avertissement | Publication possible (name & shame) | Non-respect des durées de conservation |
| Amende | Jusqu'à 20 M€ ou 4% du CA mondial | Collecte de données interdites |
Checklist conformité RGPD recrutement
- Politique de confidentialité recrutement rédigée
Avant tout recrutement
- Mention d'information dans les offres
Systématique dès la publication
- Durées de conservation définies
2 ans maximum pour les candidats non retenus
- Process de suppression en place
Purge automatique ou manuelle périodique
- Accusé de réception avec mention RGPD
À chaque candidature reçue
- Accès restreint aux données candidats
Uniquement les personnes concernées
- Procédure de réponse aux droits documentée
Délai max : 1 mois
0/7 effectué(s)0%
FAQ RGPD recrutement
Peut-on consulter le profil LinkedIn d'un candidat ?
Oui, consulter le profil LinkedIn professionnel d'un candidat est légal car ces informations sont publiquement accessibles dans un contexte professionnel. En revanche, ne collectez que les informations professionnelles pertinentes, n'explorez pas sa vie privée (Facebook perso, photos personnelles) et traitez tous les candidats de la même façon pour éviter tout risque de discrimination.
Faut-il obligatoirement nommer un DPO (Délégué à la Protection des Données) ?
La nomination d'un DPO est obligatoire pour les organismes publics, les entreprises qui traitent des données à grande échelle ou des données sensibles de façon systématique. Pour la plupart des PME, ce n'est pas obligatoire mais recommandé. En l'absence de DPO, le responsable RH ou le dirigeant assume les obligations RGPD. Dans tous les cas, une adresse de contact pour l'exercice des droits doit être communiquée.
Un ATS (logiciel de recrutement) doit-il être conforme RGPD ?
Oui, votre ATS ou logiciel de recrutement doit être conforme. Vérifiez : l'hébergement des données (UE de préférence), les mesures de sécurité, la possibilité de suppression des données, la signature d'un DPA (Data Processing Agreement) avec le fournisseur. En cas de contrôle CNIL, vous êtes responsable en tant que responsable de traitement, même si un tiers gère les données.
Que faire si un candidat demande la suppression de ses données ?
Le droit à l'effacement (ou droit à l'oubli) doit être respecté sous 1 mois. Supprimez toutes les données du candidat : CV, notes d'entretien, résultats de tests, échanges d'emails. Documentez la demande et la réponse apportée. Exception : si le candidat a été embauché, ses données sont transférées dans le dossier RH selon les règles applicables aux données salariales.
Recrutez en conformité avec Aurelia
Aurelia a été conçu avec le RGPD en tête : hébergement 100% UE, durées de conservation configurables, suppression facilitée, DPA signé avec tous les sous-traitants.